Геоограничения

Как работают геоограничения, какое место занимают в иерархии механизмов фильтрации и как их настроить.

Страна источника запроса определяется по IP, поэтому геофильтрация не всегда работает со 100% точностью. Это связано с особенностями подсетей: их регулярно перепродают, в том числе из одной страны в другую; в этом случае геопривязка обновляется не сразу, и какое-то время адреса проданной подсети могут показывать старую страну.
Если пользователь включил VPN, страна определяется по VPN-серверу.
Страна «Россия» определяется для всех регионов, включённых в страну согласно конституции РФ.

Что это

Геоограничения — инструмент, с помощью которого можно заблокировать доступ к вашему веб-ресурсу из определённых стран. Доступны два режима работы:

блокировать запросы из выбранных стран;
блокировать запросы из всех стран, кроме выбранных.

Пример: настройки ниже не пускают на ресурс трафик из Индии и Пакистана.

Когда пригодится

Примеры случаев, когда могут быть полезны геоограничения:

сервис предназначен только для пользователей из определённых стран;
нужно соблюдать юридические, договорные или лицензионные ограничения по странам;
хочется сократить объём нежелательного трафика из регионов, откуда к вам часто идут атаки или подозрительные запросы.

Какое место занимает в иерархии фильтрации

Ниже — полная цепочка механизмов фильтрации в режимах защиты Антибот и Анти-DDoS (также известных как продукты Web DDoS & Bot Protection и Web DDoS Protection).

Этап	Антибот	Анти-DDoS
1	Чёрный и белый списки	Чёрный и белый списки
2	Список верифицированных ботов	Список верифицированных ботов
3	Геоограничения	Геоограничения
4	Пользовательские правила	Лимиты запросов
5	Индивидуальный защитный профиль	При наличии DDoS атаки — фильтрация на основе класса источника запроса

Этап

Антибот

Анти-DDoS

Чёрный и белый списки

Список верифицированных ботов

Геоограничения

Пользовательские правила

Лимиты запросов

Индивидуальный защитный профиль

При наличии DDoS атаки — фильтрация на основе класса источника запроса

Описание каждого механизма читайте в статье Режимы защиты: Антибот и Анти-DDoS.

Этапы фильтрации выполняются последовательно. Как видно из таблицы, геоограничения стоят под номером 3. Это значит, система сначала проверит запрос на соответствие чёрному и белому спискам (этап 1), затем списку верифицированных ботов (этап 2) и только после этого перейдёт к геоограничениям.

Пример. Допустим, IP 203.0.113.10 относится к Индии. Вы добавили его в белый список, но заблокировали Индию в геоограничениях. Запросы с этого IP всё равно пройдут на ресурс, потому что белый список (запросы из которого автоматически пропускаются) стоит в иерархии фильтрации выше геоограничений.

Как настроить

Перейдите в Защиту веб-приложений (левое меню, кнопка посередине). Напротив нужного ресурса нажмите на три точки (…) и выберите Настройки.
Перейдите на вкладку Геоограничения.
Выберите режим работы:
- Без ограничений (стоит по умолчанию) — геофильтрация отключена;
- Разрешить по умолчанию — геофильтрация включена, блокируются запросы из указанных стран;
- Блокировать по умолчанию — геофильтрация включена, блокируются запросы из всех стран, кроме указанных.
Для режима Разрешить по умолчанию или Блокировать по умолчанию, выберите нужные страны из выпадающего списка.
Нажмите Сохранить.

Готово! Геофильтрация работает и блокирует трафик из нежелательных стран.